<div dir="ltr">Hi Mark,<div><br></div><div>The policy I used for this example was actually created for a very short zonefile with well known records where the enumeration is not an issue. I would have even used NSEC, but instead opted for NSEC3 to make the custom checks I run on the signed zones compliant for all zones (when all zones use NSEC3). With no other reason to use NSEC3 I was advised to use zero length salt and zero iterations, this way  verifying resolvers need to do less work.. IIRC resalt value of 0 did not work and generated an error, so 100 in this case is just a number.</div><div><br></div><div>Emil</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 30, 2016 at 4:44 PM, Mark Elkins <span dir="ltr"><<a href="mailto:mje@posix.co.za" target="_blank">mje@posix.co.za</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Excuse my ignorance/sanity, what does it mean to have a NSEC3 iteration<br>
of Zero? Shouldn't the minimum be 1 ?<br>
I would also have thought that salt would be required - so a length of<br>
Zero would be a strange thing to do. Kind of makes the Resalt value of<br>
100 days redundant<br>
<br>
Personally - I'd choose an iteration of 5 (something between 2 and 8)<br>
and a salt of at least 4, though I use 8.<br>
<span class=""><br>
On 30/08/2016 15:21, Emil Natan wrote:<br>
> Hello,<br>
><br>
> Running ODS 1.4.9. I know 1.4.10 is out (as well 2.x.x) but I do not see<br>
> anything related to the issue mentioned in the Changelog, so I presume<br>
> 1.4.10 inherits the same behavior.<br>
><br>
</span>> Domain <a href="http://example.com" rel="noreferrer" target="_blank">example.com</a> <<a href="http://example.com" rel="noreferrer" target="_blank">http://example.com</a>>, contains the following insecure<br>
> delegation:<br>
> sub2.sub1       IN      NS      <a href="http://ns1.yahoo.com" rel="noreferrer" target="_blank">ns1.yahoo.com</a> <<a href="http://ns1.yahoo.com" rel="noreferrer" target="_blank">http://ns1.yahoo.com</a>>.<br>
<span class="">><br>
> Policy and signconf has optout set:<br>
> <Denial><br>
>           <NSEC3><br>
>                     <OptOut/><br>
>                     <Resalt>P100D</Resalt><br>
>                     <Hash><br>
>                             <Algorithm>1</Algorithm><br>
>                             <Iterations>0</Iterations><br>
>                             <Salt length="0"/><br>
>                     </Hash><br>
>          </NSEC3><br>
> </Denial><br>
><br>
> When signed with ODS, NSEC3 record is created for <a href="http://sub1.example.com" rel="noreferrer" target="_blank">sub1.example.com</a><br>
</span>> <<a href="http://sub1.example.com" rel="noreferrer" target="_blank">http://sub1.example.com</a>>, see files attached.<br>
<span class="">><br>
> RFC5155, Section 7.1<br>
><br>
> Each empty non-terminal MUST have a corresponding NSEC3 RR, unless<br>
>       the empty non-terminal is only derived from an insecure delegation<br>
>       covered by an Opt-Out NSEC3 RR.<br>
><br>
> If I understand the above correctly, NSEC3 records should not be created<br>
> for insecure delegations.<br>
> validns also recognize this as an error:<br>
>  validns ../signed/example.com.zone.<wbr>signed<br>
> ../signed/example.com.zone.<wbr>signed:22: NSEC3 without a corresponding<br>
> record (or empty non-terminal)<br>
><br>
> Any help will be highly appreciated.<br>
><br>
> Emil<br>
><br>
> p.s I'll try 1.4.10 anyway and will update if it makes any difference<br>
><br>
><br>
><br>
</span>> ______________________________<wbr>_________________<br>
> Opendnssec-user mailing list<br>
> <a href="mailto:Opendnssec-user@lists.opendnssec.org">Opendnssec-user@lists.<wbr>opendnssec.org</a><br>
> <a href="https://lists.opendnssec.org/mailman/listinfo/opendnssec-user" rel="noreferrer" target="_blank">https://lists.opendnssec.org/<wbr>mailman/listinfo/opendnssec-<wbr>user</a><br>
><br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Mark James ELKINS  -  Posix Systems - (South) Africa<br>
<a href="mailto:mje@posix.co.za">mje@posix.co.za</a>       Tel: <a href="tel:%2B27.128070590" value="+27128070590">+27.128070590</a>  Cell: <a href="tel:%2B27.826010496" value="+27826010496">+27.826010496</a><br>
For fast, reliable, low cost Internet in ZA: <a href="https://ftth.posix.co.za" rel="noreferrer" target="_blank">https://ftth.posix.co.za</a><br>
<br>
</font></span></blockquote></div><br></div>